Prendre un Café - sysadmin - Commentaires

[ping] Sécuriser son Ubuntu-server - Krusaf's Blog

Krusaf's Blog — Fri, 16 Feb 2007 11:21:03 +0100

Denyhosts est un programme qui bloque les attaques ssh en ajoutant les IP dans /etc/hosts.deny. Denyhosts informe aussi les administrateurs (par mail) des attaques d'utilisateurs ou de login suspicieux....

Sécuriser son Ubuntu-server - Laurent - CyberSDF

Laurent - CyberSDF — Sun, 11 Feb 2007 14:54:20 +0100

Changer le port de SSH ? Bof... un nmap -vvA donnera le bon port.

Ne pas oublier non plus le manuel de sécurisation de Debian http://www.debian.org/doc/manuals/s... qui, pour pas mal de choses, s'applique aussi à Ubuntu.

Sécuriser son Ubuntu-server - NiKo

NiKo — Thu, 08 Feb 2007 17:52:43 +0100

NiCoS> Apache dans un premier temps, bien sûr.

Sécuriser son Ubuntu-server - NiCoS

NiCoS — Thu, 08 Feb 2007 16:40:06 +0100

Pour le chroot, tu enfermes au niveau d'apache je présume ou de tout (ssh, ftp, mail, home des users) ?

Sécuriser son Ubuntu-server - NiKo

NiKo — Wed, 07 Feb 2007 21:08:04 +0100

Exact. De plus nosuid empêche MySQL de créer certaines tables temporaires. Je suis en train de me dire que cette manipulation n'est finalement pas une si bonne idée que ça.

J'édite le billet en conséquence.

Sécuriser son Ubuntu-server - laOuine

laOuine — Wed, 07 Feb 2007 19:08:53 +0100

Le pb avec /tmp en noexec, c'est qu'apt y exécute des scripts pendant certaines maj.

Sécuriser son Ubuntu-server - arnod'mental

arnod'mental — Tue, 06 Feb 2007 22:32:04 +0100

Merci bien pour ce qui semble etre de bonnes bases pour la sécurité d'un serveur. Et pas seulement valable pour ubuntu je pense, mon imac va passer à la moulinette billet-de-niko-pour-pas-que-les-mechants-script-kiddies-y-viennent-trifouiller-dans-ma-machine.

Sécuriser son Ubuntu-server - NiCoS

NiCoS — Tue, 06 Feb 2007 19:38:00 +0100

en lieu et place de shorewall, j'utilise arno-iptable-firewall.

En plus de logcheck, il y a aussi logwatch.

bon résumé sinon, va falloir que je pique 2/3 trucs

Sécuriser son Ubuntu-server - wildmary

wildmary — Tue, 06 Feb 2007 18:26:36 +0100

merci

juste une petite remarque, tu devrais corriger ta phrase (au moins rajouter le "pas" manquant) :
> Attention, ne prenez un numéro de port utilisé par un des autres services que vous utilisez sur le serveur (80 pour http, 25 pour smtp, 443 pour https, etc.)

j'ai mis un moment à comprendre "ne prenez PAS un numéro de port déjà utilisé par un autre service (80 etc." x_x (3 ou 4 lectures mais pour une fois j'ai fini par comprendre avant de poser la question

Sécuriser son Ubuntu-server - NiKo

NiKo — Tue, 06 Feb 2007 17:08:06 +0100

Wildmary> Les fichiers de logs situés dans /var/log sont une aide précieuse. Comme énoncé plus haut, des outils comme netstat (que j'associe systématiquement à lsof) ou ps sont précieux pour remonter à l'origine du mal.

Sécuriser son Ubuntu-server - gismo

gismo — Tue, 06 Feb 2007 16:51:27 +0100

Voilà mon petit conseil à moi pour laisser ssh sur le port 22 sans trop de problèmes:

/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP

Cela limite les tentatives de connexions à 3 et bloque l'ip pendant 10 min si elle n'a pas reussit à s'authentifier.

Sécuriser son Ubuntu-server - wildmary

wildmary — Tue, 06 Feb 2007 15:51:17 +0100

je n'ai pas de dedibox mais il serait peut-être temps que je devienne un peu parano et que je suive te conseils : j'ai tendance à laisser tourner mon ordi à la maison avec serveur ssh pour pouvoir m'y connecter... d'ailleurs comment sait-on qu'on est victime de tentatives d'intrusion sous Ubuntu ??

Sécuriser son Ubuntu-server - Clochix

Clochix — Tue, 06 Feb 2007 09:58:09 +0100

... installer des softs d'analyse des logs, histoire d'avoir un rapport synthétique tous les matins de ce qui s'est passé sur la machine. Le tout est bien sûr de prendre le temps tous les matins de lire ce genre de mail passionnant...

Amha, le risque le plus courant est les tentatives d'attaque du serveur web. On n'est jamais à l'abri d'un exploit "0 day" dans dotclear ou autre. D'où l'utilité de chrooter Apache par exemple, et d'installer des petits trucs tout simple pour blacklister les script-kiddies. Des directives dans ce genre dans un htaccess peuvent être utiles:

<IfModule mod_rewrite.c>
  RewriteEngine on 
  RewriteRule ^(.*)xmlrpc(.*)$ /blacklist.php [L]
  RewriteRule ^(.*)awstat(.*)$ /blacklist.php [L]
</IfModule>

Sécuriser son Ubuntu-server - David, biologeek

David, biologeek — Tue, 06 Feb 2007 09:51:45 +0100

Ne pas oublier de redémarrer sshd après avoir changé le port, sinon ça sert pas trop

root c'est le mal (sauf quand on a foiré son /etc/sudoers ok)

Je connaissais pas fail2ban, intéressant !

Autre conseil : pensez à mettre à jour tous les serveurs du parc si vous en avez plusieurs connectés, surtout si certains ont des clés vers les autres (vécu inside :/).

Sécuriser son Ubuntu-server - kNo'

kNo' — Tue, 06 Feb 2007 09:21:41 +0100

"Touchez du bois"

Le grand Asimov (Isaac) disait "touchons du plastique !".

Sécuriser son Ubuntu-server - PiTiLeZarD

PiTiLeZarD — Tue, 06 Feb 2007 07:53:17 +0100

un truc tout simple que je fais régulièrement aussi ... suivant les choses qu'on installe, un petit nmap de loin pour voir ce qu'on a d'ouvert sur le monde... Surtout pour voir s'il y en a plus que de raison !

Mais merci pour ce billet ! superbe ... je découvre d'autres de tes billets a travers lequel j'ai du passer je ne sais comment ! Cool =)

Sécuriser son Ubuntu-server - Bob

Bob — Tue, 06 Feb 2007 07:33:12 +0100

Chrooter pas chrooté... (désolé, c'est tôt )

Sécuriser son Ubuntu-server - Bob

Bob — Tue, 06 Feb 2007 07:32:28 +0100

Malheureusement, même tout ça ne suffit pas à contrer les attaques par injection de code si on héberge des sites codés n'importe comment donc chrooté Apache serait un plus ainsi que l'installation d'un IPS (logcheck va bien en coulpe avec logwatch)...

Sécuriser son Ubuntu-server - mEga

mEga — Tue, 06 Feb 2007 01:59:47 +0100

conseil #1 utiliser un vrai truc sécurisé : comme OpenBsd ... ok je sais je sors mais pourtant c'est le bien et c'est mieux qu'UbuntU ^^

Sécuriser son Ubuntu-server - kolter

kolter — Tue, 06 Feb 2007 00:50:15 +0100

j'aurais des conseils différents :
+ le noexec sur le /tmp ça sert pas à grand chose, ça se contourne très facilement (de plus quid du /var/tmp?)
+ installer logcheck
+ install arpwatch car l'arpspoofing sur les dedibox c'est assez simple à faire aussi
+ netstat est ton ami
+ un firewall n'est pas vraiment utile suffit de savoir ce qu'on fait tourner
+ la directive AllowGroup dans sshd_config devrait être fortement envisagé
+ rkhunter en plus de chkrootkit, + d'autres solutions de monitoring (tiger, etc...)
+ une debian à la place d'une ubuntu
+ chrooter ses utilisateurs?
+ et plus encore ....

Synchro distante automatique via un daemon rsync sur Ubuntu - Klamouze

Klamouze — Tue, 23 Jan 2007 19:31:32 +0100

Hmm... Disons que je change régulièrement ma clé de connexion mais que ma clé privée n'est pas protégée par un mot de passe (par contre, seul le root peut lire la clé privée).
C'est un risque que je prends effectivement.
Du coup, je n'ai pas besoin de faire de ssh-add.

Voilà à quoi ressemble ma ligne de commande :
rsync -e "ssh -i /path/to/key/id_rsa" -avz --delete user@machineB:/path_to_backup /path_destination_on_machineA

Ca va synchroniser ma machineB sur ma machineA via une connexion ssh avec la clé /path/to/key/id_rsa

Comme je l'ai déjà dit, le prérequis au minimum est que cette clé ne soit lisible que par son propriétaire (il me semble que ssh-add ignore d'ailleurs les clés lisibles par d'autres utilisateurs).
Ca marche pas mal, çà me sert à faire des backups quotidiens en prod entre nos différents serveurs dédiés.

Synchro distante automatique via un daemon rsync sur Ubuntu - NiKo

NiKo — Tue, 23 Jan 2007 08:03:07 +0100

Klamouze> Oui, je connais cette manip' mais arrives-tu à faire un ssh-add au démarrage de la machine ? Ça m'interesse bigrement

Synchro distante automatique via un daemon rsync sur Ubuntu - Klamouze

Klamouze — Tue, 23 Jan 2007 01:09:13 +0100

Niko > Je lance rsync depuis ma machine A via un tâche cron. En ajoutant ma clé publique aux clés autorisées de la machine B (.ssh/authorized_keys), je permets à la machine A de se connecter à la machine B sans devoir saisir de mot de passe via ssh.

Synchro distante automatique via un daemon rsync sur Ubuntu - byzmut

byzmut — Sat, 20 Jan 2007 22:03:01 +0100

Niko> ba chez moi, root ou pas root, ça ne change rien ! Quand on fait un ls -la sur la machine B, les fichiers appartiennent toujours à edmon au lieu de jean-pierre... toi ça marche ?

Synchro distante automatique via un daemon rsync sur Ubuntu - NiKo

NiKo — Sat, 20 Jan 2007 21:16:08 +0100

Klamouze> Et comment fais-tu pour automatiser l'authentification sans intervention humaine ?

Fabien> Pour préserver le propriétaire, il faut lancer la synchro en root, car lui seul peut lire les fichiers de tous les utilisateurs du système ; peut-être est-ce là ton problème ?

Synchro distante automatique via un daemon rsync sur Ubuntu - byzmut

byzmut — Sat, 20 Jan 2007 20:33:12 +0100

super ! mais chez moi les permission ne sont pas respectées (les fichier de la machine A se retrouvent sur la machine B mais ont pour propriétaire edmon alors que c'est jean-pierre qui les a crées sur la machine A) est-ce seulement chez moi, où est ce que je dois me relire toute la doc pour comprendre ? (l'option -p pour soit disant préserver les permissions ne change rien)...

Synchro distante automatique via un daemon rsync sur Ubuntu - Klamouze

Klamouze — Sat, 20 Jan 2007 09:13:12 +0100

Ma synchro distante je la fais via ssh avec un accès avec la clé de ma machine A sur la machine B...
Je ne démarre pas de daemon, en fait la machine qui lance le rsync s'occupe de préparer la liste des fichiers et d'envoyer/recevoir la liste des fichiers...

Synchro distante automatique via un daemon rsync sur Ubuntu - Kagou

Kagou — Fri, 19 Jan 2007 20:03:23 +0100

Très bon billet, super intéressant ! Il manque juste peut être la façon de lancer automatiquement rsync en daemon au lancement de la machine. Encore merci pour ce billet

Synchro distante automatique via un daemon rsync sur Ubuntu - Gameplayer

Gameplayer — Fri, 19 Jan 2007 15:35:03 +0100

Encore un poste bien intéréssant. A noter qu'il est aussi possible d'authoriser un accès anonyme à un dossier rsync (à l'interieur d'un réseau local protégé par exemple...) si on ne précise pas les deux lignes :
auth users = edmond, gerard
secrets file = /etc/rsyncd.secrets

Synchro distante automatique via un daemon rsync sur Ubuntu - splitsch

splitsch — Thu, 18 Jan 2007 21:58:04 +0100

Merci pour l'article
Perso, j'utilise pas rsync, mais bon, je bookmark, ca peut toujours servir

Pour rsync, j'avais par contre pas pigé le jeu de mot! Car en effet, je le prononce "r-sink" ("in" comme dans ninja)
Merci NiCoS de m'avoir mis sur la piste

Synchro distante automatique via un daemon rsync sur Ubuntu - NiCoS

NiCoS — Thu, 18 Jan 2007 21:26:14 +0100

j'en peux plus de ce jeux de mot

Excellent billet pour le reste, que je vais mettre en place bientôt (depuis le temps que je me dis que je dois le faire...)

Synchro distante automatique via un daemon rsync sur Ubuntu - giz404

giz404 — Thu, 18 Jan 2007 21:24:31 +0100

Voilà une mise en place bien plus complète que ce que je fais.
Je me contente d'habitude d'un simple rsync vers le disque dur externe... Une commande, et plus besoin de se préoccuper du reste.

Synchro distante automatique via un daemon rsync sur Ubuntu - THomas

THomas — Thu, 18 Jan 2007 21:16:15 +0100

La R5 c'est meme une voiture des années 70...;)